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In a system for conducting transactions with a 
multifunctional card having an integrated circuit, 
the circuit contains a bank application associated 
with the user's account-keeping bank and at least 
one purse application associated with a services 
supplier or manufacturer. With the aid of an 
apparatus communicating with the card, the card 
user can load a selectable sum of money into the 
purse application. The purse supplier is provided 
with a transaction certificate about the sum 
loaded in the purse and to be credited to the 
purse supplier's account, without a need for 
storing the secret data necessary for preparing 
this certificate in the purse application or in the 
purse terminal. 
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@ System zur Durchfuhrung von Transaktionen mit einer Multifunktionskarte mit elektronischer Borse 

(g) Bei einem System zur Durchfuhrung von Transaktionen 
mit einer Multifunktionskarte mit integriertem Schaltkreis 
enthalt der Schaltkreis eine der kontofuhrenden Bank des 
Benutzers zugeordnete Bankanwendung und wenigstens 
eine einem Dienstleistungsanbieter oder Hersteller zugeord- 
nete Borsenanwendung. Mrt Hilfe einer mit der Karte 
kommunizierenden vorrichtung kann der Kartenbenutzer 
einen wahlbaren Geldbetrag in die Borsenanwendung laden. 
Dem Borsenanbieter wird ein authentisches Zertrfikat uber 
den in die Borse geladenen und dem Konto des Borsenan- 
bieters gutzuschreibenden Betrag zur VerfOgung gestelit, 
ohne daft die zur Erstellung dieses Zertifikats notwendigen 
geheimen Daten in der Borsenanwendung bzw. im Borsen- 
terminal gespeichert sein mussen. 
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Beschreibung 

Die Erfmdung betrifft ein System gemaB dem Ober- 
begriff des Hauptanspruchs. 

AJlgemein bekannt sind Karten, wie z. B. ec-Karten, 5 
Kreditkarten oder Telefonkarten mit integriertem 
Schaltkreis, die dem Benutzer fur unterschiedliche 
Transaktionen zur Verfugung stehen. Die ec-Karten 
bzw. die Kreditkarten werden in zunehmendem MaB 
auch dazu verwendet, bargeldlose Transaktionen vom 10 
benutzereigenen Bankkonto auf ein beliebiges anderes 
Bankkonto zu veranlassen. Es handelt sich dabei im all- 
gemeinen um Dienstieistungsanbieter oder Handler, die 
uber ein entsprechendes Terminal verfGgen, das der 
Kartenbenutzer zur Durchfuhrung der Transaktionen 15 
benutzt 

Eine weitere Art der bargeldlosen Bezahlung bietet 
die sogenannte elektronische Borse. Um die Borse zu 
aktivieren, Ieistet der Kartenbenutzer eine Vorabzah- 
Iung an den Borsenanbieter und erhalt dafur eine ent- 20 
sprechende Anzahl von Werteinheiten, die in der elek- 
tromschen Borse gespeicbert werden. Bei jeder Inan- 
spruchnabme einer Leistung wird die Borse um einen 
entsprechenden Betrag vermindert 

Aufgnind der zunehmenden Leistungsfahigkeit der in 25 
Karten eingesetzten integrierten Schaltkreise verstar- 
ken sich die Bestrebungen, sogenannte Multifunktions- 
karten vorzuschlagen, die es dem Benutzer erlauben, 
mit einer einzigen Karte die genannten Transaktionsar- 
ten (Bankanwendung, Borsenanwendung) zu nutzen. 30 

Eine solche Multifunktionskarte hat im allgemeinen 
eine der kontofuhrenden Bank des Benutzers zugeord- 
nete Bankanwendung und wenigstens eine einem 
Dienstanbieter oder Handler zugeordnete Borsenan- 
wendung. 35 

Aus der EP-OS 058 029 ist eine Multifunktionskarte 
mit Borsenfunktion bekannt Die hier verwendete Mul- 
tifunktionskarte unterscheidet mehrere Bankbereiche, 
einen Kreditkartenbereich und einen Borsenbereich. 
Dem Benutzer ist es mit Hilfe einer personlichen fdenti- 40 
fikationsnummer (PIN) moglich, zu einem Bank- bzw. 
Kreditkartenbereich Zugang zu erhahen. Der Benutzer 
kann nun aus diesem Bereich einen bestimmten Geldbe- 
trag in den Borsenbereich umladen und diesen Betrag 
dann ohne PIN-Eingabe zur lnanspruchnahme von 45 
Dienstleistungen oder Waren nutzen. 

Die EP-OS 058 029 enthalt keinerlei Angaben dar- 
uber, wie der Ladevorgang gegen betriigerische Mani- 
puiationen gesichert ist 

Der Ladevorgang einer Borse wird im allgemeinen 50 
tiber eine im Verantwortungsbereich des Borsenanbie- 
ters liegende Vorrichtung (Terminal) abgewickelt Da- 
bei ist die im Verantwortungsbereich der Bank liegende 
Bankanwendung der Karte zwangslaufig in den Lade- 
prozeB einbezogen. Eine Kommunikation zwischen den 55 
in unterschiedlichen Verantwortungsbereichen liegen- 
den Komponenten des Systems ist somit erforderlich, so 
daB es im Interesse aller am System beteiligten Institu- 
tionen notwendig ist, den gesamten Vorgang fal- 
schungssicher zu gestalten und zu gewahrleisten, daB eo 
die Integritat der in den einzelnen Komponenten des 
Systems notwendigen Geheiminformationen gewahrt 
bleibt 

Die Aufgabe der Erfmdung besteht deshalb darin, ein 
System vorzuschlagen, das den obengenannten Proble- 65 
men gerecht wird 

Die Aufgabe der Erfmdung wird durch die im kenn- 
zeichnenden Teil des Hauptanspruchs angegebenen 
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Merkmale geldst 

Das Wesentliche der Erfindung besteht darin, dem 
Borsenanbieter ein authentisches Zertifikat uber den in 
die Borse zu ladenden und dem Konto des Borsenanbie- 
ters gutzuschreibenden Betrag zur Verfugung zu stel- 
len, ohne daB die zur Erstellung dieses Zertifikats not- 
wendigen geheimen Daten in der Borsenanwendung 
bzw. im Bdrsemerminal gespeichert sein mussen. 

Dazu wird in einem ersten Schritt des Umbuchungs- 
vorgangs in der Bankanwendung uber den vom Kunden 
gewahlten Betrag und weiterer Transaktionsdaten mit 
nur in der Bankanwendung gespeicherten geheimen 
Daten ein Zertifikat erstellt, das dann innerhaib des inte- 
grierten Schaltkreises an die Borsenanwendung iiber- 
tragen wird. In der Borsenanwendung wird zu diesem 
Transaktionszertifikat ein Authentisierungscode er- 
rechnet mit geheimen Daten, die ausschlieBIich in der 
Borsenanwendung bzw. im Terminal gespeichert sind. 
Transaktionszertifikat und Authentisierungscode wer- 
den zum Terminal Qbertragen und in diesem verifiziert 
Ist der Vergleich positiv, so kann seitens des Borsenter- 
minals davon ausgegangen werden, daB die gesendeten 
Daten authentisch sind 

In einem zweiten Schritt wird der Empfang echter 
Daten vom Borsenterminal dadurch bestatigt, daB die- 
ses einen weiteren Authentisierungscode uber die emp- 
fangenen Daten erstellt und an die Borsenanwendung 
zurticksendet In der Borsenanwendung wird dieser 
zweite Authentisierungscode verifiziert Ist der Ver- 
gleich positiv, kann seitens der Borsenanwendung da- 
von ausgegangen werden, daB das Terminal ein echtes 
Transaktionszertifikat erhalten hat. Erst nach diesem 
Vergleich wird der vom Benutzer vorgewahlte Betrag 
endgultig in den Borsenspeicher der Borsenanwendung 
ubertragen. Die Umbuchung ist damit abgeschlossen. 

Der Vorteil der Erfindung besteht darin, daB die Inte- 
gritat der Geheimdaten der am System beteiligten Insti- 
tutionen gewahrt bleibt Bei der Implementierung meh- 
rerer Borsenanwendungen in eine Multifunktionskarte 
sind keine gemeinsamen Schlussel notwendig, um Betra- 
ge von der Bankanwendung in eine Borsenanwendung 
umzubuchen. Die einzelnen Borsen sind vollig unabhan- 
gig voneinander und arbeiten stets mit ihren eigenen 
SchlOsseln. Das Verfahren stellt sicher, daB das Borsen- 
terminal ein Transaktionszertifikat erhalt und dieses 
auch gultig ist Erst nach einer entsprechenden Ober- 
prtlfung wird der vom Benutzer gewahlte Betrag in die 
Borse geladen. Mit dem Verfahren wird gleichzeitig si- 
chergestellt, daB sowohl Terminal als auch Karte au- 
thentisch sind 

Vorzugsweise wird in der Bankanwendung vor der 
Erstellung des Transaktionszertifikats gepruft, ob der 
vom Kartenbenutzer gewahlte Betrag kleiner ist als der 
in einem sogenannten Verfugungsrahmen gespeicherte 
Betrag. Der jeweils aktuelie Wert des VerfGgungsrah- 
mens stellt die Obergrenze des nutzbaren Geldbetrages 
dar. Ist der Verfugungsrahmen verbraucht, sind keine 
weiteren Umbuchungen in eine Borse moglich. Der Ver- 
fiigungsrahmen kann nur durch eine durch vorherige 
PIN-Eingabe mdgliche Transaktion mit der kontofiih- 
renden Bank des Kartenbenutzers wieder geladen wer- 
den. Diese MaBnahmen bewahren den Kartenbenutzer 
bei Verlust der Karte davor, daB zu groBe Betrage miB- 
brauchlich in die Borse umgebucht werden, solange die 
Bdrsenfunktion ohne vorherige PIN-Prfifung aktivier- 
bar ist 

GemaB einer Weiterbildung der Erfindung wird vor- 
geschlagen, in der Bankanwendung einen globalen 
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Transaktionszahler vorzusehen, der alle Ober die Bank- der Vorgange zwischen der Borsenanwendung und dem 

anwendung laufenden Transaktionen zahlt Ein entspre- Terminal dienen. Diese Schlussel werden vom Borsen- 

chender Zahler ist fur die Borsenanwendung vorgese- anwender ausgewahlt bzw. von sogenannten Grund- 

hen. Nach jedem Umbuchungsvorgang von der Bankan- schlusseln abgeleitet und sind nur dem Borsenanwender 

wendung m die Bonenanwendung wird der Zalilerstand 5 bekannt Ferner enthalt die Borsenanwendung wenig- 

des Transaktionszahlers in der Bankanwendung in den stens zwei Speicher BSRAM und BSS. Der RAM-Spei- 

Zahlerstand des Transaktionszahlers in der Borsenan- cher dient zur vorubergehenden Speicherung des vom 

wendung ubertragen. Eine Umbuchung ist nur moglich, Benutzer fur eine Umbuchung vorgesehenen Betrags. 

wenn der Zahlerstand des Transaktionszahlers in der Erst nach AbschluB alier Authentisierungsvorgange 

Bankanwendung gr6Ber ist als der in der Borsenanwen- to wird dieser Betrag in den Borsenspeicher transferiert 

dung. Diese MaBnahme hat den Vorteil, daB bei einer SchlieBIich enthalt die Borsenanwendung einen Gene- 

gestohlenen Karte nur maximai eine Umbuchung vor* rator zur Erzeugung von Zufallszahlen RND. 

genommen werden kann, da ein zweiter Versuch wegen Entsprechend der Borsenanwendung sind auch im 

der Gleichheit der dann vorliegenden Za*hlerst§nde ab- Terminal die Borsenschlussel Sbc^c und SBdrse gespei- 

gebrochen wird Nur durch eine Transaktion mil der 15 chert Zur Identifikation des Borsenterminals ist eine 

kontofuhrenden Bank, die eine PIN-Eingabe voraus- Terminal-IdentifikationsnummerTID vorgesehen. Eine 

setzt, wird der Transaktionszahler in der Bankanwen- Terminal-Transaktionsnummer TTA wird bei jeder Bu- 

dung erhdht, womit eine wekere Umbuchung freigege- chung inkrementiert, so daB damit jeder Buchungsvor- 

ben wird. Bei einer Karte mit mehreren Borsenanwen- gang individualisiert wird. Der vom Benutzer uber die 

dungen ist ein alien Borsen gemeinsamer Zahler vorge- 20 Tastatur 7 eingegebene Geld- bzw. Transaktionsbetrag 

sehen. TB wird im Terminal zur weiteren Verarbeitung zwi- 

Weitere Vorteile sowie Weiterbildungen der Erfin- schengespeichert 
dung sind Gegenstand der Unteranspruche sowie der Der eigentliche Umbuchungsvorgang setzt sich aus 
nachfolgenden Beschreibung einer Ausfuhrungsform zwei Kommandos, dem Kommando "Umbuchen" und 
der Erfindung, die anhand der Zeichnung beispielsweise 25 dem Kommando "Bestatigen* zusammen. Der Ablauf 
beschrieben wird Darin zeigen: dieser Kommandos ist in der Fig. 1 anhand von Signal- 
Fig. 1 eine schematische Darstellung des Informa- verlaufen grob skizziert und soli im folgenden anhand 
tionsflusses zwischen den einzelnen Komponenten, der Fig. 2 und 3 ausfuhrlicher beschrieben werden. 
Fig. 2 ein Ablaufdiagramm des Umbuchvorgangs, Die Fig. 2 zeigt ein Ablaufdiagramm des Kommandos 
Fig. 3 ein Ablaufdiagramm des Bestatigungsvorgan- 30 "Umbuchen". Das Terminal stellt zunSchst einen Daten- 
ges. satz DATrerm aus der von der Borsenanwendung der 
Die Fig. 1 zeigt in einer beispielhaften Ausfuhrungs- Karte angeforderten Zufallszahl RND, der Terminal- 
form die wesentlichen Komponenten des erfindungsge- Identifikationsnummer TID, der Terminal-Transak- 
m&Ben Systems. Es besteht aus einer Multifunktionskar- tionsnummer TDA und dem Transaktionsbetrag TB zu- 
te 1 (MF) und einem Terminal 5 mit einer Schnittstelle 6 35 sammen. Durch die Verarbeitung einer Zufallszahl wird 
zur Kommunikation mit anderen Einheiten sowie einer der Datensatz nicht vorhersehbar dynamisiert, was; wie 
Tastatur 7. Die Multifunktionskarte ist in drei Bereiche, an sich bekannt, gegen sogenannte replay- Angriffe 
den Bankbereich 2, den Borsenbereich 3 und den Sy- schiitzt. Der Datensatz DATrerm wird nun mit Hilfe des 
stemberekh 4 aufgeteilt Auf den Bank- bzw. Borsenbe- Borsenschlussels S 1 Barse zur Erzeugung eines Echtheits- 
reich konnen jeweils nur diedazu authorisierten Anbie- 40 codes MACTcrm verschlusselt Der Datensatz DATTerm 
ter zugreifen. Der Systembereich enthalt unter anderem und der Echtheitscode MACrerm werden daraufhin in 
allgemeine Daten, die von mehreren Anwendern ge- einem ersten Schritt des Umbuchungsvorgangs (siehe 
nutzt werden konnen, Im folgenden soli nur auf die in auch Fig. 1) an die Borsenanwendung ubertragen. Diese 
den einzelnen Bereichen gespeicherten Daten und Vor- berechnet jetzt ihrerseits aus dem Datensatz mit Hilfe 
gSnge bzw. Programme eingegangen werden, die zum 45 des Borsenschlussels SlBarse den Sicherheitscode 
VerstSndnis der Erfindung notwendig sind MAC'Tom. Danach vergieicht die Borsenanwendung 
Der in der Bankanwendung 2 gespeicherte Schlussel den errechneten Echtheitscode mit dem vom Terminal 
SBank dient zusammen mit einem geeigneten Algorith- ubermittelten Echtheitscode, Fallt. dieser Vergleich ne- 
mus zur Berechnung des bankspezifischen Zertifikats. gativ aus, wird hier, wie auch bei alien spateren Verglei- 
Der Schlussel 1st nur der Bank bekannt bzw. nur in der 50 chen,der Umbuchungsvorgang abgebrochen. Bei positi- 
Bankanwendung gespeichert Ferner ist in der Bankan- vem Vergleich wird der Datensatz DATjerm an die 
wendung ein sogenannter Verfugungsrahmen VR ge- Bankanwendung ubertragen. Hierbei handelt es sich 
speichert, der den maximal vom Benutzer verfugbaren zwar um einen anwendungsubergreifenden ProzeB, der 
Betrag festlegt Der VerfOgungsrahmen ist also einem jedoch ohne eine Absicherung durchgefuhrt werden 
Betragslimitgleichzusetzen, uber das der Benutzer ohne 55 kann, da er innerhalb des integrierten Schaltkreises 
einen Authorisierungsvorgang mit der kontofiihrenden durchgefohrt wird. Fur einen Faischer bestehen auf die- 
Bank verfugen kann. Ein aufgebrauchter VerfOgungs- ser Ebene praktisch keine Zugriffsmoglichkeitea 
rahmen kann nur durch einen PIN-gekoppelten und In der Bankanwendung wird nun zunachst gepruft, ob 
durch die kontofuhrende Bank authorisierten ProzeB der Transaktionsbetrag TB kleiner ist als der durch den 
iniualisiert werden. Die in der Anwendung noch gespei- 60 VerfOgungsrahmen VR defmierte Betrag. Bei positivem 
cherte Kontonummer PAN und die Bankleitzahl BLZ Vergleich wird der Transaktionsbetrag TB vom Verfu- 
dienen zur Identifikation des Benutzers gegenuber der gungsrahmen VR abgezogen. Daraufhin wird in der 
Bank. Auf den in der Bankanwendung noch vorgesehe- Bankanwendung iiberpruft, ob der Stand des global en 
nen Transaktionszahler GTZ wird spater noch einge- Transaktionszahlers GTZ groBer ist als der eines Bor- 
gangen. 65 sentransaktionszahlers BTZ, der, wie aus der Fig. 1 tr- 
im Borsenbereich der Karte sind in der hier geschil- sichtlich, im Systembereich der Multifunktionskarte ge- 
derten beispielhaften Ausfuhrungsform zwei Schlussel speichert ist (BTZ)l Wie schon erw&hnt, wird nach jedem 
Sb«i« und Ssorse gespeichert, die der Authentisierung Umbuchungsvorgang von der Bankanwendung in die 
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Bdrsenanwendung der Zahlerstand des globalen Trans- 
aktionszahlers GTZ in den Transaktionszahler der Bdr- 
senanwendung BTZ ubertragen. Eine Umbuchung ist 
nur moglich, wenn der Zahlerstand des Z&hlers GTZ 
grdBer ist als der des Zahlers BTZ. Diese MaBnahme 
bewirkt, daB bei einer gestohlenen Karte nur maximal 
eine Umbuchung vorgenommen werden kann- Nur 
durch eine Transaktion mit der kontofOhrenden Bank, 
die eine PIN-Eingabe voraussetzt, wird der Transak- 
tionszahler GTZ in der Bankanwendung erhoht, womit 
eine wehere Umbuchung freigegeben wird Sollen mehr 
als eine Umbuchung nach einer Transaktion mit der 
kontofuhrenden Bank moglich sein, sind entsprechende 
Zahlerstande der genannten Zahler GTZ und BTZ bei 
einem Vergleich zu berficksichtigen. 

Ergibt der Vergleich zwischen dem Transaktionszah- 
ler GTZ und dem Borsentransaktionszahler BTZ, daB 
eine Umbuchung moglich ist, wird der globale Transak- 
tionszahler GTZ inkrementiert und der aktuelle Zahler- 
stand des globalen Transaktionszahlers GTZ in den 
Borsentransaktionszahler BTZ ubertragen. Daraufhin 
wird in der Bankanwendung dem Datensatz DATrerm 
die Kontonummer PAN und die Bankleitzahl BLZ hin- 
zugefiigt Mit Hilfe des Schlussels SBank wird aus dem 
Datensatz DATaank der Echtheitscode MACBank be- 
rechnet Aus dem Datensatz DATBank und dem Echt- 
heitscode MACBank wird das Zertifikat ZFBank erstellt 
Dieses Zertifikat wird im dritten Schritt des Umbu- 
chungsvorgangs an die Bdrsenanwendung ubertragen. 

In der Borsenanwendung wird nun zunachst der 
Transakuonsbetrag TB in den RAM-Speicher BSRAM 
ubertragen. Daraufhin werden mit Hilfe der Schlussel 
SlBdrse und S2e«ne die Echtheitscodes MAClssrse und 
MAC2B6r$e aus dem Zertifikat ZFsank berechnet 
SchlieBlich wird im vierten Schritt des Umbuchungsvor- 
gangs das Zertifikat ZFBank mit dem Echtheitscode 
M AC1 B6rse an das Terminal ubertragen. 

Das Terminal berechnet jetzt seinerseits mit Hilfe des 
Schlussels SlBdrse den Sicherheitscode MACl'B6r$e aus 
dem Zertifikat ZFBank und vergleicht die Echtheitscodes 
MAClBdrse und MAC 1 'BGrse- Ein positiver Vergleich be- 
deutet, daB das Zertifikat von einer authorisierten Bor- 
senanwendung an das Terminal ubertragen worden ist 
Damit ist der Vorgang des Kommandos "Umbuchen" 
abgeschlossen. 

Das Kommando "Bestatigen" wird, wie aus Fig. 3 er- 
sichtlich, dadurch eingeleitet, daB im Terminal mit Hilfe 
des Schlussels S2B&ne der Echtheitscode MAC2 , B6rse 
aus dem Zertifikat ZFBank berechnet und an die Borsen- 
anwendung ubertragen wird. 

In der Borsenanwendung wird der hier gespeicherte 
Echtheitscode MAC2sarse mit dem gesendeten Echt- 
heitscode MAC2'Borse verglichea Bei positivem Ver- 
gleich wird der Inhalt des RAM-Speichers in den Bor- 
senspeicher ESS ubertragen. Aufgrund des positiven 
Vergleichs ist seitens der Borsenanwendung sicherge- 
stellt, daB das Terminal ein authentisches Bankzertifikat 
erhalten und verarbeitet hat In einem letzten Schritt 
wird der RAM-Speicher geldscht und ein entsprechen- 
des Signal fiber den erfolgreich durchgefuhrten Umbu- 
chungsvorgang an das Terminal zuruckgesendet 

Das Bankzertifikat ZFBank kann beispielsweise fiber 
die Schnittstelle 6 an die entsprechende Bank ubertra- 
gen werden. Es ist audi mdglich, mehrere Zertifikate im 
Terminal zu speichern und in bestimmten Abstanden an 
die entsprechende Bank zu ubertragen. Die MaBnah- 
men zur Abskherung derartiger Obertragungen sind 
bekannt, so daB darauf an dieser Stelle nicht naher ein* 
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gegahgen werden muB. Die Bank ist in der Lage, anhand 
des Bankschlussels SBank das Zertifikat ZFBank auf Au- 
thentizitat zu prufen, urn dann bei entsprechend positi- 
vem Vergleich anhand der im Zertifikat ZFBank ubertra- 
genen Daten den entsprechenden Betrag vom Konto 
des Kartenbenutzers auf das Konto des Bdrsenanbie- 
ters zu uberweisen. 

Patentanspriiche 

1. System zur DurchfOhrung von Transaktionen mit 
einer Multifunktionskarte mit integriertem Schalt- 
kreis, der eine der kontofuhrenden Bank des Benut- 
zers zugeordnete Bankanwendung und wenigstens 
eine einem Dienstleistungsanbieter oder Handler 
zugeordnete Bdrsenanwendung enthalt und mit ei- 
ner Vorrichtung, fiber die ein wahlbarer Geldbe- 
trag in die Borsenanwendung geladen werden 
kann, indem unter anderem den Geldbetrag enthal- 
tende Transaktionsdaten von der Vorrichtung an 
die Karte ubertragen und innerhalb des integrier- 
ten Schaltkreises der Karte von der Bankanwen- 
dung in die Borsenanwendung umgeladen wird, da- 
durch gekennzeichnet, daB 

— von den von der Vorrichtung fibertragenen 
Transaktionsdaten innerhalb der Bankanwen- 
dung ein Transaktionszertifikat unter Verwen- 
dung geheimer, nur der Bank bzw. in der Bank- 
anwendung gespeicherter Daten erstellt wird, 

— das Transaktionszertifikat in die Borsenan- 
wendung ubertragen wird und 

— der umzubuchende Geldbetrag erst dann in 
die Borsenanwendung geladen wird, wenn die 
Vorrichtung den Empfang des durch die Bor- 
senanwendung authentisierten Transaktions- 
zertifikats gegeniiber die Borsenanwendung 
bestatigt 

2. System nach Anspruch 1, dadurch gekennzeich- 
net, daB das von der Borsenanwendung zur Vor- 
richtung ubertragene Transaktionszertifikat sowie 
die Bestatigung der Vorrichtung fiber den Erhah 
des Transaktionszertifikats durch geheime Daten 
authentisiert wird, die nur dem Dienstleistungsan- 
bieter oder Handler bekannt und in der Borsenan- 
wendung sowie in der Vorrichtung gespeichert 
sind. 

3. System nach Anspruch 2, dadurch gekennzeich- 
net, daB zur Authentisierung des Transaktionszerti- 
fikats in der Bdrsenanwendung mit Hilfe eines er- 
sten BdrsenschlOssels ein Authentisierungscode be- 
rechnet wird, daB das Transaktionszertifikat und 
der Authentisierungscode zur Vorrichtung ubertra- 
gen werden und daB in der Vorrichtung der Au- 
thentisierungscode mit Hilfe des ersten Borsen- 
schlussels verifiziert wird. 

4. System nach Anspruch 3, dadurch gekennzeich- 
net, daB in der Vorrichtung mit Hilfe eines zweiten 
BdrsenschlOssels aus dem Transaktionszertifikat ei- 
ne zweiter Authentisierungscode berechnet wird, 
daB dieser Authentisierungscode zur Borsenan- 
wendung ubertragen wird und daB der zweite Au- 
thentisierungscode in der Bdrsenanwendung verifi- 
ziert wird. 

5. System nach Anspruch 1, dadurch gekennzeich- 
net, daB vor der Obertragung der Transaktionsda- 
ten von der Vorrichtung an die Bdrsenanwendung 
in der Vorrichtung ein Authentisierungscode gebil- 
det wird, der gemeinsam mit den Transaktionsda- 
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ten an die Bdrsenanwendung ubertragen und in 
dieser verifiziert wird. 

6. System nach Anspnich 1, dadurch gekennzeich- 
net, daB vor der Bildung des Transaktionszertifi- 
kats in der Bankanwendung gepruft wird, ob der 5 
umzubuchende Geldbetrag innerhalb eines in der 
Bankanwendung defmierten Verfflgungsrahmens 
Hegt . 

7. System nach Anspruch 1 oder 6, dadurch gekenn- 
zeichnet, daB vor der Bildung des Transaktionszer- 10 
tifikats in der Bankanwendung festgestellt wird, ob 
die Anzahl der mit der Karte durchgefuhrten Um- 
buchungen einen einstellbaren Wert Qberschreitet 
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Legende: 



MF 


Multifunktionskarte 


BTZ 


Borsentransaktionszahler 


GTZ 


globaler TransaktionszahJer 




Bankschlussei 




erster Borsenschlussel 




zweiter Borsenschlussel 


VR 


Verfugungsrahmen 


PAN 


Kontonummer 


BLZ 


Bankleitzahl 


BSS 


Borsenspeicher 


BSRAM Borsen RAM-Speicher 


RND 


Zufallszahl 


TED 


Terminal ID-Nummer 


TTA 


Terminal Transaktionsnummer 


TB 


Transaktionsbetrag 



S2B6TS, 

TB 

TID 
TTA 
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2. 

Bank: 
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Borse: 
4. 
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Umbuchen 

DAT Tenn = ( RND, TID, TTA, TB ) 
SUDAT T „) => MAC Tenn 



DAT Tenn , MAC > Borse 



Term 



SWDAT Tera )=>MAC' TwB 
MAC Tenn = MAC' Tenn 

lenn term 



DAT Tenn --> Bank 



TB <= VR 

VR = VR - TB 

GTZ > BTZ 

GTZ = GTZ + 1 

DAT Bani = ( DAT Term , PAN, BLZ ) 

S Blln i( DAT Bank ) = > MAC 

Bank 

ZF Bmk = ( DAT Bsnk , MAC 

Bank / 

GTZ --> BTZ 



ZF, 



Bank 



•> Borse 



TB -> BSRAM 
SIJZF^) => MAC1 



Bore© 



S2 B8re6 (ZF Bank )=>MAC2 BSre6 



ZF Bank , MACl Krse -> Terminal 



sijzf^) => MAC1' 

MACl^ = MACl'^ 



Bore© 
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Bestatigen 



Terminal: 
5. 



S2 B8rse ( ZF Bmi ) = > MAC2' 



Borse 



MAC2' B5ree --> Borse 



Borse: 



6. 



MAC2,*. = MAC2' B6rS6 
BSRAM -> BSS 
BSRAM loschen 



o.k. -> Terminal 
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